In de Algemene Verordening Gegevensbescherming (AVG) is ook een meldplicht datalekken opgenomen. Er zijn veel gelijkenissen met de meldplicht onder de Wet bescherming persoonsgegevens (Wbp), maar er zijn ook belangrijke verschillen. Op dit moment is het voor organisaties lastig om te bepalen of sprake is van een datalek. Als het antwoord ‘ja’ is, is de voglende vraag of je het lek moet melden bij de Autoriteit Persoonsgegevens (AP). Onder de AVG lijkt dit nog minder eenvoudig te worden. Een gedegen incidentenproces, kan helderheid bieden als je duidelijk beschrijft welke stappen je moet doorlopen. De specialisten van Power of 4 ondersteunen met een gestructureerde aanpak bij het inrichten van dit incidentenproces en de informatieveiligheid in je organisatie.

Iedere inbreuk melden

Onder de AVG is het nieuw dat ‘iedere inbreuk in verband met persoonsgegevens’ moet worden gemeld bij de AP, tenzij niet waarschijnlijk is dat deze een risico inhoudt. Hiermee wordt de drempel van melden lager. Voor een deel van de datalekken maakt dit geen verschil. Als er sprake is van het lekken van ‘gevoelige gegevens’, zoals bijzondere persoonsgegevens en financiële gegevens, dan moet je dit onder de Wbp en straks ook onder de AVG melden.

Het wordt complexer als er geen bijzondere persoonsgegevens zijn gelekt. Dan moet je op grond van de ‘aard’ en ‘omvang’ van de gelekte gegevens bepalen of een melding vereist is. Deze afweging kan voor een functionaris voor gegevensbescherming onder de AVG eerder tot een melding leiden dan nu. Zorgorganisaties kunnen de rol van functionaris voor de gegevensbescherming en daarmee de meldplicht datalekken uitbesteden aan.

Melden aan de betrokkene

Onder de AVG moet een melding aan de AP plaatsvinden bij elk incident met persoonsgegevens, tenzij niet waarschijnlijk is dat het datalek een risico inhoudt. Een melding aan de betrokkene moet vervolgens plaatsvinden als het datalek waarschijnlijk een hoog risico inhoudt. Voor organisaties betekent dit dat na melding aan de AP een daadwerkelijke nieuwe afweging gemaakt moet worden of dit datalek ook aan de betrokkene wordt gemeld. De AVG kent voor het melden aan betrokkene drie uitzonderingen. Als persoonsgegevens goed beveiligd zijn, bijvoorbeeld door encryptie, dan hoeft de betrokkene niet te worden geïnformeerd. Daarnaast is informeren niet vereist als er heel veel betrokkenen zijn. In dat geval kan worden volstaan met een openbare mededeling. Tot slot hoeft de betrokkene niet te worden geïnformeerd als achteraf maatregelen zijn genomen om te zorgen dat het hoge risico zich waarschijnlijk niet meer voor zal doen. Bijvoorbeeld een hacker die data heeft gestolen, waarbij de hacker kan worden opgepakt voordat hij de data heeft verspreid. Er is dan dus geen sprake van een hoog risico.

Termijn voor melding

Ook onder de AVG moet een melding aan de toezichthouder in beginsel binnen 72 uur plaatsvinden. Van belang is om te bepalen wanneer deze termijn gaat lopen. De 72 uur termijn onder de AVG gaat lopen op het moment dat de verwerkingsverantwoordelijke kennis heeft genomen van (‘aware is’) een datalek. Hierbij moet er een redelijke mate van zekerheid zijn dat het datalek gemeld moet worden. Het starten van de meldingstermijn is dus niet afhankelijk van een ontdekking door de bewerker. Ook heeft de verwerkingsverantwoordelijke in bepaalde gevallen tijd om te bepalen of er sprake is van een datalek vóórdat de meldingstermijn start. Dit geeft de verwerkingsverantwoordelijke meer tijd, maar zorgt er ook voor dat de termijn niet meer op een vast moment start. Organisaties moeten dus bepalen wanneer ze ‘aware’ zijn. De afspraken tussen verwerkersverantwoordelijke en verwerker over datalekken worden vastgelegd in een verwerkersovereenkomst. Hierin staat dat de verwerker binnen 24 uur een datalek moet melden bij de verwerkersverantwoordelijke. De specialisten van Power of 4 helpen bij het maken, controleren en afsluiten van deze verwerkersovereenkomsten.